Red Hat ha publicado un paquete de Squid actualizado que corrige una
vulnerabilidad en la decodificación de URLs y ofrece un nuevo tipo ACL
(Acess Control List) para proteger a clientes vulnerables.
Squid es un proxy cache Web clásico, con gran cantidad de
funcionalidades (como soporte para HTTP, FTP, trabajo con SSL,
jerarquías de cache, etc.
Se ha descubierto un error en el tratamiento de caracteres codificados
con % en URLs en versiones 2.5.STABLE4 y anteriores de Squid. Si la
configuración de dicho programa utiliza listas de control de acceso
(ACLs), un atacante remoto puede crear URLs que no serán procesadas
correctamente por Squid, lo que permitiría a los clientes acceder a
páginas que normalmente estarían restringidas.
Además de corregir el problema, se ha añadido un nievo tipo de control
de acceso «urllogin» que puede ser usado para proteger clientes de
Microsoft Internet Explorer del acceso a URLs que contengan información
de acceso, ya que con frecuencia esas URLs son utilizadas por webs
fraudulentas para que los usuarios revelen información sensible.
La configuración por defecto de Squid no usa este nievo tipo de control
de acceso, por lo que si se quiere utilizar hay que especificarlo de
forma explícita según las políticas concretas del sitio en el que se
utilice.
Las URLs para descargar el paquete actualizado que corrige este
problema son las siguientes (según formato):
ftp://updates.redhat.com/9/en/os/SRPMS/squid-2.5.STABLE1-3.9.src.rpm
ftp://updates.redhat.com/9/en/os/i386/squid-2.5.STABLE1-3.9.i386.rpm
jcanto@hispasec.com
Más información:
Squid-2.5STABLE5 fixes and features for URL encoding tricks
http://www.squid-cache.org/Advisories/SQUID-2004_1.txt
CAN-2004-0189
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0189
